Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

CREACION DE USUARIOS, GRUPOS. ASIGNACION DE PERMISOS

El siguiente tutorial esta realizado en la versin 5.5 de CentOS

Antes de comenzar con la AU (Administracin de Usuarios) debemos tener en

cuenta que en los sistemas GNU/Linux hay 3 tipos de usuarios:
Cuenta de Usuario: Tipo de cuenta ms usual. Ofrece acceso a la Shell, por este
motivo no podemos dar cuentas de usuario a cualquier persona: Esta podra
acceder a la configuracin del equipo, ver/robar datos, etc.
Cuenta de Acceso Restringido (Restricted account): Cuentas que proveen los
servicios necesarios a un determinado usuario. Un ejemplo muy usado es cuentas
restringidas para usar solo correo electrnico. Son ms seguras, pues generalmente
no permiten acceder a la shell.
Cuentas para Programas y Procesos: Usadas por algunos programas que necesitan
sus propios identificadores de usuario.
Tambin voy a enfatizar en la cuenta root, que bsicamente es una cuenta con
todos los privilegios en un Sistema (Por lo tanto, la cuenta mas deseada por
cualquier intruso). Es una cuenta de usuario desde la cual se puede hacer cualquier
tarea sobre cualquier usuario. El peligro es doble por este motivo, ya que podemos
perjudicar a otros usuarios o a nosotros mismos al cometer un error desde la
cuenta root. Por ello, siempre se recomienda usarla cuando es estrictamente
necesario: Nunca para tareas normales.
Todas las cuentas de usuario residen en el archivo /etc/passwd en el cual se guarda
la informacin de cada usuario. La sintaxis es la siguiente:

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Nombre:Contrasea:UID:GID:Nombre_completo:directorio:shell
Nombre: Nombre del usuario
Contrasea: Su contrasea cifrada
UID: User ID, Identificacin de usuario
GID: Gruop ID, Identificacin de grupo
Nombre_completo: Nombre completo del usuario
Directorio: Directorio de usuario
Shell: Tipo de Shell
El UID y el GID se suelen otorgar automticamente por secuencia. P. ej., si el
usuario "pepe" tiene el UID 600, el usuario creado despus de pepe tendr el UID
601.
El programa useradd crea tambin el directorio home de cada usuario: En este
directorio es donde residen nuestros archivos personales (En una de las entradas
anteriores, creamos un directorio nuevo dentro del home de nuestro usuario).
Normalmente, el directorio creado es /home/nombredeusuario y al usar el
comando useradd, se crean automticamente todos los permisos sobre el
directorio. Cada usuario solo puede acceder a su propio usuario (A no ser que el
administrador de sistemas cambie las propiedades de los directorios, y, por
ejemplo, otorgue a 1 usuario el poder de leer o modificar otros directorios. El
usuario root, como ya hemos dicho, tiene la posibilidad de entrar, leer y modificar
todos los directorios).
Finalmente, el comando useradd otorga las configuraciones de usuario, a travs de
un directorio armazn: /etc/skel . Generalmente los archivos estn ocultos,
podemos verlos con el comando ls -a.
Por el contrario, el programa userdel elimina usuarios del sistema. El primer paso
que sigue el programa para eliminar un usuario, es eliminarle de /etc/passwd y de
/etc/group. Posteriormente elimina el home del usuario, con todo lo que haya
dentro. Pero, elimina estrictamente el home: El usuario que va a ser borrado puede
tener archivos fuera del directorio home (P. ej. archivos temporales o programas).

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Podemos agrupar a varios usuarios, en lo que llamamos un grupo. En CentOS se

suele crear por defecto un grupo para cada usuario al usar el comando useradd,
con el mismo ID que el usuario.
El archivo de grupos lo podemos encontrar en /etc/group y su sintaxis es la
siguiente:
Nombre_grupo:contrasea_grupo:GID:nombres_de_registro
(No todos los grupos requieren contrasea) Y creo que no hace falta explicar
demasiado, pues la sintaxis es ms clara que para el archivo de usuarios.
Prctica: Crear Usuario
Para crear un usuario, vamos a la cuenta root y utilizamos la lnea de comando
useradd para crear un usuario, en este caso llamado anaitisGarcia, y le pondremos
un UID manualmente. En este caso 1000

Para definir la contrasea de este usuario utilizamos el comando passwd.

Una vez creado el nuevo usuario, podemos terminar la sesin como root y
logearnos como anaitisGarcia

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Dentro de nuestro usuario "anaitisGarcia", podemos ver nuestro directorio con el

comando pwd (En este caso, /home/anaitisGarcia). Para ver que no tenemos
permisos para acceder a las home de otros usuarios, podemos intentar cambiar de
directorio para entrar en algn home. Al ejecutar, por ejemplo, cd /home/anaitis, nos
dar un error indicando que no tenemos los permisos.

Ahora vamos a volver al usuario root, para comprobar que nuestro usuario est
aadido en /etc/passwd. Para esto, podemos usar la orden more /etc/passwd.

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Al final del archivo aparece nuestro usuario anaitisGarcia, con el uid 1000.
Seguramente se habrn fijado que en el campo de contrasea, aparece una x. Esto
es porque por defecto se instala un programa llamado shadow que oculta las
contraseas cifradas en otro archivo (/etc/shadow).
Tambien esta el comando adduser, con el tambien podemos agregar usuarios

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Para cambiar el password a un usuario escribimos passwd nombre de usuario y

nos pedir la nueva passwd

Para expirar la passwd de un usuario escribimos usermod e 08/05/2011 que en

este caso es la fecha de expiracin y el nombre del usuario

Para eliminar un usuario utilizamos el comando userdel y para el eliminar el

directorio home del usuario utilizamos rm r /home/(nombre de usuario). El

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

programa nos pregunta tambin si queremos eliminar los archivos de

configuracin dentro del home.

Podemos volver a revisar los archivos passwd y group, y ver que nuestro usuario
ha desaparecido.
Prctica: Crear Grupo
Tambin podemos crear grupos con el comando groupadd y eliminarlos con el comando
groupdel.
Por ejemplo, podemos crear el grupo UsuariosCentOS con el comando groupadd
UsuariosCentOS.

Si queremos agregar el usuario anaitiscabrera a este grupo utilizamos este

comando

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Con esa orden, aadimos al usuario anaitiscabrera al grupo UsuariosCentOS. Si nos

dirigimos de nuevo al archivo /etc/group, veremos el grupo UsuariosCentOS, conteniendo
por ahora al usuario anaitiscabrera.
Para comprobar escribimos groups y el nombre de usuario y nos dira los grupos a los que
pertenece el usuario.

Prctica: Permisos
El sistema de permisos en Linux se basa en un esquema de usuarios/grupos que lo
convierte en la base principal de la seguridad en Linux, a estos usuarios y grupos
se les asignan distintos derechos sobre los archivos y directorios.
Esta es una de las caractersticas que ayudan a que Linux sea casi inmune a los
Virus de computadora, los virus deben ser capaces de escribir sobre un archivo
para poder infectarlo y ejecutarse de alguna manera para poder infectar mas
archivos, con el sistema de permisos de Linux los virus no pueden copiarse a
cualquier archivo, si el usuario carece de permisos el virus no podr infectar ms
archivos y por lo tanto no podr reproducirse.
Todos los archivos y directorios en Linux tienen permisos que verifican quien
puede hacer o no alguna accin con l.
Los permisos propiamente dichos son tres:

r: read (lectura): Cuando el permiso de lectura est activo sobre un

directorio significa que se podr listar los recursos almacenados en l, si est
asignado a un archivo se podr leer su contenido.

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

w: write (escritura): Cuando el permiso de escritura est activo sobre un

directorio significa que se podr crear y borrar archivos en su interior, si
esta activado para un archivo significa que se podr modificar su contenido.

x: execute (ejecucin): Si el permiso de ejecucin est activo sobre un

directorio significa que el usuario podr realizar otras funciones dentro de
l mediante los otros permisos de lectura y escritura, y si est activo sobre
un archivo se podr ejecutarlo desde la lnea de comandos.

Los permisos estn asignados en grupos de 3 (rwx) y corresponde al: propietario

(owner: dueo del archivo o directorio), grupo (group: grupo del archivo o
directorio) y otros (others: otro usuario diferente del propietario).
Linux dispone de 3 comandos que permite cambiar los permisos, el propietario y el
grupo de un archivo y/o directorio respectivamente:

Comando chmod : se utiliza para cambiar los permisos del archivo o

directorio
$ chmod [permisos] [archivo/directorio] [opciones]

Comando chown : se utiliza para cambiar el propietario del archivo o

directorio
# chown [nuevo usuario propietario] [archivo/directorio] [opciones]

Comando chgrp : utilizado para cambiar el grupo del archivo o directorio

# chgrp [nuevo grupo] [archivo/directorio] [opciones]

Existen dos maneras de asignar permisos:

Mediante caracteres.

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Vamos a crear dos archivos los cuales utilizaremos de ejemplo al momento de

explicar cmo usar los permisos. Los ficheros prueba y prueba2 sern los ejemplos
que utilizaremos para aplicar permisos.

Si vamos a el navegador de archivos veremos los directorios

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

El primero ejemplo ser quitar todos los permisos a un fichero. Utilizaremos la

siguiente lnea de comando: chmod a-rwx prueba3. Con esto decimos que para todo
el mundo no habr permisos ni de escritura, ni lectura, ni de ejecucin sobre este
archivo.
Nos situamos en la carpeta que contiene los documentos.

El primero ejemplo ser quitar todos los permisos a un fichero. Utilizaremos la

siguiente lnea de comando: chmod a-rwx prueba. Con esto decimos que para todo el
mundo no habr permisos ni de escritura, ni lectura, ni de ejecucin sobre este
archivo.

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Como podemos ver en la figura, el usuario anaitis no tiene acceso al archivo

debido a los permisos configurados anteriormente.
Ahora al mismo archivo vamos aplicarle permisos de solo lectura para

todos los

usuarios. La lnea de comando a utilizar ser la siguiente: chmod a+r prueba3.

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Como vemos al definir el permiso a+r se le aplico permisos de solo lectura para
todos los usuarios.
Si establecemos el valor a+rwx todo el mundo tendr permiso de lectura, escritura
y ejecucin.
Las tablas expuestas ms arriba nos ayudan a conocer los permisos que podemos
aplicar y cmo podemos aplicarlos a usuarios y grupos. Con la combinacin de
estos podemos establecer una excelente seguridad.
Para finalizar con la aplicacin de permisos por medio de caracteres haremos otro
ejemplo, en el cual vamos a permitir que el grupo al cual pertenezca el fichero
tenga acceso a leer y escribir, y los otros no tendrn acceso a ejecutarlo..

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Si cambiamos los permisos a un directorio y deseamos que estos permisos tengan

efecto sobre todos sus subdirectorios y archivos slo deberemos aadir la opcin
R. Ejemplo: $ chmod a=rw DIRECTORIO R.

Mediante Nmeros.

Ahora aplicaremos permisos utilizando valores numricos. Cada permiso tiene

asignado un valor:
r = 4 (lectura)
w = 2 (escritura)
x = 1 (ejecucin)
- = 0 (sin permisos)
Cuando asignamos los permisos utilizando nmeros debemos tener en cuenta que
primero se sumarn los valores. La siguiente tabla contiene la suma de los
permisos:

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Los permisos por nmeros se asignan en grupos de 3, es decir, para el propietariogrupo-otros, no es factible asignar solo para uno o dos de ellos.
Existen varias combinaciones interesantes, estas son:

rw-rw-rw- (666) Todo el mundo puede leer y escribir en el archivo. No

es una buena eleccin!

rwxrwxrwx (777) Todo el mundo puede leer, escribir y ejecutar.

Tampoco es buena eleccin!

rw------- (600) Slo el propietario tiene el derecho de leer y escribir

En el primer ejemplo asignaremos permisos de escritura, lectura y ejecucin para el
propietario del fichero. Al grupo le asignaremos permisos de lectura y escritura, y
al otro solo permiso de lectura. Ver la imagen que sigue:

En el siguiente ejemplo, quitaremos todos los permisos de un fichero a todos los

usuarios incluyendo el propietario. Para esto se utiliza la suma de valores 000.

Anaitis Cabrera Garca 2009-3383 S0-3 Instructor: Jos Doe CENTOS

Cambiando el Propietario

Para cambiar el propietario de un fichero utilizamos el comando chown, seguido

del nombre del usuario al cual pertenecer el fichero, y por ltimo el nombre del
fichero.
Chown anaitis prueba3 permitir que el archivo prueba3 ahora pertenezca al usuario
anaitis, aunque haya sido creado por root.
Si utilizamos el comando ls l | grep prueba3 veremos que pertenece a root, luego
pertenecer Anaitis

En el siguiente ejemplo, haremos que el usuario anaitis se convierta en propietario

de todo un directorio, incluyendo los subdirectorios que incluya. Utilizaremos la
siguiente lnea de comandos: chown anaitis documentos/ -R.